Wednesday, July 25, 2018
VPN site to site, client to site
Mạng riêng ảo VPN và những giá trị thiết thực
Mạng riêng ảo, hoặc gọi là Mạng nội bộ ảo, hay tên tiếng Anh là Virtual Private Network (VPN) là một mạng nội bộ để nối tât cả các máy tính, thiết bị mạng… trong một công ty, tổ chức lại với nhau, bất kể các thiết bị đó có ở cách xa nhau về mặt địa lý. Thông qua mạng riêng ảo, các mạng máy tính của các đơn vị thành viên trong doanh nghiệp có thể ghép lại với nhau, tạo thành một hệ thống mạng máy tính duy nhất, an toàn hiệu quả, chia sẽ được mọi dữ liệu tài nguyên và quản lý tập trung.
Doanh nghiệp nào nên sử dụng VPN?
Nếu bạn thuộc một trong hai trường hợp sau thì hãy nên lập kế hoạch để triển khai VPN luôn:
- Đối với các doanh nghiệp, tổ chức có nhiều chi nhánh ở cách xa nhau thì việc sử dụng VPN là hết sức cần thiết và an toàn. Ví dụ các đơn vị logistic, nhà máy, chuỗi nhà hàng/khách sạn, văn phòng đại diện…
- Đối với doanh nghiệp, tổ chức có nhân viên làm việc từ xa (chẳng hạn ở nhà), nhưng vẫn cần phải truy cập vào hệ thống máy tính trung tâm, tương tác với các nhân viên khác ở công ty thì bắt buộc phải sử dụng VPN. Ví dụ các đơn vị xây lắp, thiết kế nội thất, thi công công trình, kinh doanh bất động sản
Cân nhắc áp dụng hai hình thức triển khai VPN:
Mạng riêng ảo VPN có 2 dạng triển khai chính, tương ứng với 2 trường hợp sử dụng ở trên. Đó là
Site to Site: kết nối 2 văn phòng với nhau. Lúc này, mọi nhân viên, thiết bị ở cả 2 văn phòng có thể trao đổi mọi thông tin với nhau.
Client to Site: kết nối 1 văn phòng với 1 nhân viên. Lúc này, nhân viên, thiết bị ở văn phòng và nhân viên làm việc từ xa có thể trao đổi mọi thông tin với nhau
Một số thiết bị VPN
Có nhiều hãng cung cấp thiết bị phần cứng VPN, và cũng có nhiều phần mềm VPN khác nhau, có phí hoặc miễn phí:
Phần cứng: của Cisco, Draytek, Fortigate…
Phần mềm: chạy trên nền hệ điều hành Windows, Linux/Unix như pfSense, OpenVPN…
VPN site to site IPSEC
2.Yên cầu
Cấu hình VPN cho phép 2 LAN ở router danang và router quangnam liên lạc được với nhau.
3.Cấu hình:
- Cấu hình cơ bản trên các router
-Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên
– Router danang: cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
danang(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
– Router quangnam: cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
quangnam(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
quangnam(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
b.Cấu hình VPN theo các bước sau:
Trên router danang
Bước1: Tạo Internet Key Exchange (IKE) key policy.
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
danang (config)#crypto isakmp policy 9
danang (config-isakmp)#hash md5 thuật toán hash
danang (config-isakmp)#encryption des thuật toán mã hoá
danang (config-isakmp)#group 2 số nhóm (version) Diffie-Hellman
danang (config-isakmp)#authentication pre-share Phương pháp chứng thực
Bước 2: Tạo shared key để sử dụng cho kết nối VPN
danang (config)#crypto isakmp key VPNKEY address 192.168.2.2 (ip của router quangnam) Xác định thông tin key và peer
Kết quả khi “ show crypto isakmp policy”:
Cấu hình IKE policy trên router danang
Bước3: Quy định lifetime
danang (config)#crypto ipsec security-association lifetime seconds 86400
Bước4: Cấu hình ACL dãy IP có thể VPN.
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
danang (config)#access-list 100 permit ip 30.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255
cho phép mạng lan danang vpn sang mạng lan quangnam
Bước 5: Define the transformations set that will be used for this VPN connection Cấu hình chính sách IPSec
danang (config)#crypto ipsec transform-set danang esp-3des esp-md5-hmac
chọn giao thức ESP để đóng gói dữ liệu
Bước 6: Tạo cypto-map cho các transform, setname
danang (config)#crypto map MAPNAME 10 ipsec-isakmp
danang (config-crypto-map)#set peer 192.168.2.2 (ip của router quangnam)
danang (config-crypto-map)#set transform-set danang ( setname ở bước 5)
danang (config-crypto-map)#match address 100 (100 : acl-number ở bước 4 )
danang (config-crypto-map)#match address 100 (100 : acl-number ở bước 4 )
Bước7: Đưa crypto map vào interface
danang (config)#inter f0/0
danang (config-if)#crypto map MAPNAME (mapname ở bước 6)
Trên router quangnam
Bước1: Tạo Internet Key Exchange (IKE) key policy.
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
quangnam (config)#crypto isakmp policy 9
quangnam (config-isakmp)#hash md5 thuật toán hash
quangnam (config-isakmp)#encryption des thuật toán mã hoá
quangnam (config-isakmp)#group 2 số nhóm (version) Diffie-Hellman
quangnam (config-isakmp)#authentication pre-share Phương pháp chứng thực
Bước 2: Tạo shared key để sử dụng cho kết nối VPN
quangnam (config)#crypto isakmp key VPNKEY address 192.168.1.1 (ip của router danang) Xác định thông tin key và peer
Bước3: Quy định lifetime
quangnam (config)#crypto ipsec security-association lifetime seconds 86400
Bước4: Cấu hình ACL dãy IP có thể VPN.
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
quangnam (config)#access-list 100 permit ip 10.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255
cho phép mạng lan quangnam vpn sang mạng lan danang
Bước 5: Define the transformations set that will be used for this VPN connection Cấu hình chính sách IPSec
quangnam (config)#crypto ipsec transform-set danang esp-3des esp-md5-hmac
chọn giao thức ESP để đóng gói dữ liệu
Bước 6: Tạo cypto-map cho các transform, setname
quangnam (config)#crypto map MAPNAME 10 ipsec-isakmp
quangnam (config-crypto-map)#set peer 192.168.1.1 (ip của router danang)
quangnam (config-crypto-map)#set transform-set danang ( setname ở bước 5)
quangnam (config-crypto-map)#match address 100 (100 : acl-number ở bước 4 )
Bước7: Đưa crypto map vào interface
quangnam (config)#inter f0/0
quangnam (config-if)#crypto map MAPNAME (mapname ở bước 6)
VPN client to site IPSEC
Cấu hình VPN client-to-site trên router vpn:
1. Bật chứng thực AAA trên Router sử dụng phương thức chứng thực local
routervpn(config)#username hoa password 123 dùng đăng nhập vào router vpn
routervpn(config)#aaa new-model
routervpn(config)#aaa authentication login default local none
- Tạo IP pool cho VPN client sử dụng để kết nối VPN:
routervpn(config)#ip local pool vpnclient 172.16.1.20 172.16.1.40
cấp ip cho vpn client
- Cấu hình Group Authorization (nhóm thẩm định với VPN Server):
routervpn(config)#aaa authorization network vpnauth local
- Tạo 1 IKE Policy và Group (sử dụng pre-share key và dùng AES để mã hóa với 256 bit)
routervpn(config)# crypto isakmp policy 10
routervpn(config-isakmp)#authentication pre-share
routervpn(config-isakmp)#encryption aes 256
routervpn(config-isakmp)#group 2
- Tạo ISAKMP group là ttggroup và password 1234:
routervpn(config)#crypto isakmp client configuration group ttggroup
routervpn(config-isakmp-group)#key 1234
routervpn(config-isakmp-group)#pool vpnclient (pool giong ten voi bc 2)
routervpn(config-isakmp-group)#netmask 255.255.255.0
- Cấu hình IPSec Transform sử dụng thuật toán mã hóa 3DES và SHA-HMAC để đảm bảo tính toàn vẹn dữ liệu:
routervpn(config)# crypto ipsec transform-set key1 esp-3des esp-sha-hmac
- Tạo 1 Dynamic Crypto Map:
routervpn(config)#crypto dynamic-map mymap 10
routervpn(config-crypto-map)#set transform-set key1 ( giong ten voi bc 7)
routervpn(config-crypto-map)#reverse-route
routervpn(config)#crypto map mymap client configuration address respond
routervpn(config)#crypto map mymap isakmp authorization list vpnauth (giong bc 4)
routervpn(config)#crypto map mymap 10 ipsec-isakmp dynamic mymap
- Cấu hình user chứng thực
routervpn(config)# aaa authentication login vpnauth local (giong bc 4)
routervpn(config)# username hoapro password 12345 tên đăng nhập cho client
routervpn(config)#crypto map mymap client authentication list vpnauth (giong bc 4,8)
routervpn(config)#int f0/1 gán lên cổng ra ngoài internet của router mới chạy được
routervpn(config-if)#crypto map mymap
10. Cài đặt VPN Client :
Thế này là kết nối thành công:
Lưu ý : Nếu sử dụng thiết bị thật thì có thể dùng phần mềm cisco VPN Client
Kiểm tra hoạt động VPN:
Code:
#show crypto isakmp sa
#show crypto ipsec sa
Bạn có thể bình luận bài viết tại đây...
